prec home dir suiv

BULL CP8 - SAFEPAD

img

Appareil : Lecteur de cartes à puce
Date : vers 1997
Marque : BULL-CP8 puis INGENICO
Type : SAFEPAD

Nous sommes à la fin des années 1990. Les banques françaises imaginent un moyen de sécuriser nos paiements sur internet. Elles veulent s'appuyer sur le protocole SET (Secured Electronic Transaction) qui vient d'être spécifié par VISA. Mais comme on est en France, on a la carte à puce bancaire depuis déjà pas mal de temps (1986 en Bretagne). il est donc possible d'améliorer le protocole SET qui s'appuie sur des traitements purement logiciel chez le client en utilisant les moyens cryptographiques de la carte. C'est ainsi que naitra le protocole C-SET. Mais pour le mettre en oeuvre, outre les cartes, il faut des lecteurs. Et dans le cas présent, des lecteurs sécurisés car on ne veut pas que son firmware puisse être modifié (sauf sous contrôle) ni que le code porteur se ballade sur le PC de l'utilisateur. C'est ainsi que naitra le projet d'un lecteur sécurisé qui se verra même octroyer une certification ITSEC, de mémoire en 1997.

La particularité du Safepad est qu'il est possible d'y télécharger des logiciels signés, la vérification se faisant via une chaîne de confiance. Le Safepad dispose d'une clé publique permettant de vérifier les signatures, cette clé ainsi que le logiciel de vérification (et d'autres bricoles) se trouvant dans la mémoire d'un microcontrôleur Philips qui a été verrouillé en écriture.

Le prix objectif de ce lecteur est d'environ 500F avec l'espoir de le voir ramené à 250F au fur et à mesure que les quantités augmenteront. Le banques en auraient acheté 50000. En 2002, il leur en reste 30000 sur les bras (Libération 8 avril 2002). Au final, le projet sera arrêté et Cybercom sera fermé.

Le lecteur lui-même est plutôt bien construit. Sa coque est en plastique de bonne qualité, le clavier est agréable. Il dispose d'un petit afficheur, peut fonctionner sur pile et a une batterie pour maintenir quelques données (je suppose, l'heure et la date). Et il est fabriqué en France...

img

Théoriquement, le boîtier ne peut être ouvert sans que cela se voit. Ceci pour qu'un utilisateur puisse s'apercevoir que son lecteur aurait été piégé (par exemple). Il s'agissait d'un des objectif de sécurité de la cible de sécurité pour l'évaluation. Cet objectif a été rapidement abandonné après qu'au bout de quelques minutes, le fils d'un des évaluaeur ait pu ouvrir le boîtier sans effraction !

Pour les besoins d'illustration de ce site, j'ai également ouvert le lecteur. Cela se fait sans trop de difficultés. Il faut juste savoir qu'il y a deux vis qui se cachent sous l'étiquette dite "de sécurité" située sous l'appareil. En fait, elle se décolle très facilement et il est possible de la remettre sans que cela se voit.

A part cela, l'électronique est de bonne facture. Depuis déjà pas mal de temps, Bull a abandonné son gros connecteur à machoire au profit d'un lecteur fin, comme chez les concurrents.

Ce lecteur a également été produit par Ingénico suite au rachat de la branche de Bull qui concevait ces appareils.

img
Intérieur du SafePad

juillet 2012